信息安全制度.pdfVIP

信息平安制度

1总则

第1条为规范信息平安管理工作，加强过程管理和基础设施管

理的风险分及防范，建立平安责任制，健全平安内限制度，保证信

息系统的机密性、完整性、可用性，特制定本规定。

2适用范

第2条本规定适用于。

3管理对象

第3条管理对象指组成计算机信息系统的系统、设备和数据等

信息资产和人员的平安。主要范围包括：人员平安、物理环境平安、

资产识别和分类、风险管理、物理和逻辑访问限制、系统操作与运行

平安、网络通讯平安、信息加密与解密、应急与灾难复原、软件研发

与应用平安、机密资源管理、第三方与外包平安、法律和标准的符合

性、项目与工程平安限制、平安检查与审计等。

4第四章术语定义

DMZ：用于隔离内网和外网的区域，此区域不属于可信任的内网，

也不是完全开放给因特网。

容量：分为系统容量和环境容量两方面。系统容量包括CPU、内

存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。

平安制度：与信息平安相关的制度文档，包括平安管理方法、标

准、指引和程序等。

平安边界：用以明确划分平安区域，如围墙、大厦接待处、网段

等。

恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑

炸弹等。

备份周期：依据备份管理方法制定的备份循环的周期，一个备份

周期的内容相当于一个完整的全备份。

系统工具：能够更改系统及应用配置的程序被定义为系统工具，

如系统管理、维护工具、调试程序等。

消息验证：一种检查传输的电子消息是否有非法变更或破坏的技

术，它可以在硬件或软件上实施。

数字签名：一种爱惜电子文档真实性和完整性的方法。例如，在

电子商务中可以运用它验证谁签署电子文档，并检查已签署文档的内

容是否被更改。

信息处理设备：泛指处理信息的全部设备和信息系统，包括网络、

服务器、个人电脑和笔记本电脑等。

不行抵赖性服务：用于解决交易纠纷中争议交易是否发生的机

制。

电化办公系统：包括电邮件、KOA系统以及用于业务信息传

送及共享的企业内部网。

5平安制度方面

5.1平安制度要求

5.1.1本制度的诠释

第4条全部带有“必需”的条款都是强制性的。除非事先得到

平安管理委员会的认可，否则都要坚决执行。其它的条款则是猛烈建

议的，只要实际可行就应当被接受。

第5条全部员工都受本制度的约束，各部门领导有责任确保其

部门已实施足够的平安限制措施，以爱惜信息平安。

第6条各部门的领导有责任确保其部门的员工了解本平安管

理制度、相关的标准和程序以及日常的信息平安管理。

第7条平安管理代表（或其指派的人员）将审核各部门平安限

制措施实施的精确性和完整性，此过程是公司例行内部审计的一部

分。

5.1.2制度发布

第8条全部制度在创建和更新后，必需经过相应管理层的审

批。制度经批准之后必需通知全部相关人员。

5.1.3制度复审

第9条当环境变更、技术更新或者业务本身发生变更时，必需

对平安制度重新进行评审，并作出相应的修正，以确保能有效地爱惜

公司的信息资产。

第10条平安管理委员会必需定期对本管理方法进行正式的复

审，并依据复审所作的修正，指导相关员工实行相应的行动。

6组织平安方面

6.1组织内部平安

6.1.1信息平安体系管理

第11条公司成立平安管理委员会，平安管理委员会是公司信

息平安管理的最高决策机构，平安管理委员会的成员应包括总裁室主

管IT领导、公司平安审计负责人、公司法律负责人等。

第12条信息平安管理代表由信息平安管理委员会指定，一般

应包含稽核部IT稽核岗、信息管理部信息平安相关岗位及分公司IT

岗。

第13